编辑摄取管道

在大多数情况下，在将数据摄取到 Elastic Stack 之前，需要对数据进行操作。例如，在摄取之前，您应该将日志解析为结构化数据。为此，集成使用 摄取管道.

摄取管道定义在 elasticsearch/ingest_pipeline 目录中。它们只适用于它们所在的父数据流。对于我们的示例，这将是 apache.access 数据集。

例如，Apache 集成

apache
└───data_stream
│   └───access
│   │   └───elasticsearch/ingest_pipeline
│   │          default.yml 
│   └───error
│   └───status

摄取管道定义需要描述和处理器数组。以下是访问日志摄取管道的片段

description: "Pipeline for parsing Apache HTTP Server access logs."
processors:
- set:
    field: event.ingested
    value: '{{_ingest.timestamp}}'
- rename:
    field: message
    target_field: event.original
- remove:
    field: apache.access.time
    ignore_failure: true

打开为每个数据流创建的每个 elasticsearch/ingest_pipeline/default.yml 文件。编辑每个摄取管道以匹配您的需求。

该 处理器参考 提供了所有可用处理器及其配置的列表。